Investigadores de ciberseguridad han descubierto una nueva campaña que emplea una familia de ransomware no documentada previamente, llamada Charon, dirigida a sectores públicos y la industria de la aviación en Medio Oriente. Según Trend Micro, el actor de amenazas detrás de esta actividad ha demostrado tácticas que reflejan las de los grupos de amenazas persistentes avanzadas (APT), incluyendo DLL side-loading, inyección de procesos y la capacidad de evadir el software de detección y respuesta de endpoints (EDR).
Las técnicas de DLL side-loading se asemejan a las documentadas previamente como parte de ataques orquestados por un grupo de hacking vinculado a China, llamado Earth Baxia, que fue señalado por la empresa de ciberseguridad por atacar entidades gubernamentales en Taiwán y la región de Asia-Pacífico para entregar una backdoor conocida como EAGLEDOOR.
El ransomware Charon, al igual que otros binarios de ransomware, es capaz de realizar acciones disruptivas que terminan con servicios relacionados con la seguridad y procesos en ejecución, así como eliminar copias de sombra y backups, minimizando así las posibilidades de recuperación. También emplea técnicas de multihilo y cifrado parcial para hacer que la rutina de bloqueo de archivos sea más rápida y eficiente.
Otro aspecto notable del ransomware es el uso de un driver compilado a partir del proyecto de código abierto Dark-Kill para deshabilitar las soluciones EDR por medio de un ataque BYOVD (bring your own vulnerable driver). Sin embargo, esta funcionalidad nunca se activa durante la ejecución, lo que sugiere que la característica probablemente está en desarrollo.
Hay evidencia que sugiere que la campaña fue dirigida en lugar de oportunista. Esto se debe al uso de una nota de rescate personalizada que menciona específicamente a la organización víctima por su nombre, una táctica no observada en los ataques de ransomware tradicionales.
A pesar de las similitudes técnicas con Earth Baxia, Trend Micro ha enfatizado que esto podría significar una de tres cosas: participación directa de Earth Baxia, una operación de falsa bandera diseñada para imitar deliberadamente el modus operandi de Earth Baxia, o un nuevo actor de amenazas que ha desarrollado de forma independiente tácticas similares.
Independientemente de la atribución, los hallazgos ejemplifican la tendencia actual de los operadores de ransomware que adoptan cada vez más métodos sofisticados para la implementación de malware y la evasión de la defensa, difuminando aún más las líneas entre el cibercrimen y la actividad de los estados-nación.
Esta convergencia de las tácticas APT con las operaciones de ransomware plantea un riesgo elevado para las organizaciones, combinando técnicas de evasión sofisticadas con el impacto comercial inmediato del cifrado de ransomware.
En INGENIERÍA TELEMÁTICA SAS, entendemos la creciente sofisticación de las amenazas como el ransomware Charon. Contamos con la experiencia y las soluciones, como Fortinet EDR/XDR, para proteger su organización contra ataques avanzados. No dude en contactarnos a través de nuestro formulario de contacto o por los medios habituales si ya es cliente para evaluar su postura de seguridad y fortalecer sus defensas.
Fuente original: Ver aquí